工业物联网应用领域、安全威胁及安全风险

前言

工业物联网是将具有感知、监控能力的各类采集、控制传感器或控制器，以及移动通信、智能分析等技术不断融入到工业生产过程各个环节，从而大幅提高制造效率，改善产品质量，降低产品成本和资源消耗，最终实现将传统工业提升到智能化的新阶段。从应用形式上，工业物联网的应用具有实时性、自动化、嵌入式(软件)、安全性、和信息互通互联性等特点。

通常，工业物联网基础设施包括各种互连设备和软件，聚合和传输数据以及访问互联网。智能工厂物联网系统的整体复杂性非常广泛，安全漏洞的数量随后大幅增加。显然，传统的防火墙和抗病毒系统是不够的; 复杂的IIoT基础设施需要更先进的东西。

在企业环境中，最容易发生网络攻击的工业控制系统包括监督控制和数据采集系统(也称为SCADA)，可编程逻辑控制器，连接人和机器的接口以及分布式控制系统。

如今，许多垂直行业已经采用了工业物联网，但这并不意味着他们的部署是安全的。工业物联网向传统IT系统引入了具有不同威胁向量和相关风险的各种运营技术(OT)架构。许多风险已经存在了几十年，并且已经进入快速发展的工业物联网的领域。

工业物联网应用领域

制造业供应链管理

企业利用物联网技术，能及时掌握原材料采购、库存、销售等信息，通过大数据分析还能预测原材料的价格趋向、供求关系等，有助于完善和优化供应链管理体系，提高供应链效率，降低成本。空中客车通过在供应链体系中应用传感网络技术，构建了全球制造业中规模最大、效率最高的供应链体系。

生产过程工艺优化

工业物联网的泛在感知特性提高了生产线过程检测、实时参数采集、材料消耗监测的能力和水平，通过对数据的分析处理可以实现智能监控、智能控制、智能诊断、智能决策、智能维护，提高生产力，降低能源消耗。钢铁企业应用各种传感器和通信网络，在生产过程中实现了对加工产品的宽度、厚度、温度实时监控，提高了产品质量，优化了生产流程。

生产设备监控管理

利用传感技术对生产设备进行健康监控，可以及时跟踪生产过程中各个工业机器设备的使用情况，通过网络把数据汇聚到设备生产商的数据分析中心进行处理，能有效地进行机器故障诊断、预测，快速、精确地定位故障原因，提高维护效率，降低维护成本。GEOil&Gas集团在全球建立了13个面向不同产品的i-Center(综合服务中心)，通过传感器和网络对设备进行了在线监测和实时监控，并提供了设备维护和故障诊断的解决方案。

环保监测及能源管理

工业物联网与环保设备的融合可以实现对工业生产过程中产生的各种污染源及污染治理环节关键指标的实时监控。在化工、轻工、火电厂等企业布署传感器网络，不仅可以实时监测企业排污数据，而且可以通过智能化的数据报警及时发现排污异常并停止相应的生产过程，防止突发性环境污染事故发生。电信运营商已开始推广基于物联网的污染治理实时监测解决方案。

工业安全生产管理

“安全生产”是现代化工业中的重中之重。工业物联网技术通过把传感器安装到矿山设备、油气管道、矿工设备等危险作业环境中，可以实时监测作业人员、设备机器以及周边环境等方面的安全状态信息，全方位获取生产环境中的安全要素，将现有的网络监管平台提升为系统、开放、多元的综合网络监管平台，有效保障了工业生产安全。

典型的物联网安全威胁

设备劫持

这种威胁通常很难被发现。设备似乎以其通常的方式工作，但实际上，它受黑客控制并用于感染其他设备。例如，被劫持的智能电表可以感染其他智能电表，并最终使黑客能够控制整个企业能源管理系统。

DDoS攻击

首字母缩略词代表“分布式拒绝服务攻击”，即来自多个来源的攻击并阻止最终用户访问系统。毋庸置疑，企业环境中的此类物联网安全漏洞是最有害的。

PDoS攻击

此类攻击会永久损坏目标设备，并可能对整个企业工作流程造成重大中断。中断生产，损坏的设备和有缺陷的产品是PDoS攻击的一些不良后果。

中间人

这些类型的攻击是由人类造成的。攻击者可能会损坏IoT基础设施的其中一个元素或中断两个系统之间的通信。受损系统可能进一步影响其他设备或系统，从而导致多米诺骨牌效应和严重的物理损坏。

如何确保工业物联网的安全性

概述物联网安全威胁

识别现有威胁完全符合当前的物联网安全最佳实践。首先，指出企业的安全风险类型特征：服务的可用性，数据完整性，损坏的产品，设备或库存，人员安全等。随着企业基础架构的转型，这些风险可能会随着时间而变化。

检测易受攻击的设备

此步骤涉及创建物联网网络的每个组件的寄存器，从最小的物联网传感器到整个制造工厂。因此，如果这些组件中的任何一个被感染或开始显示非典型活动，则检测起来会容易得多。识别这些设备中的安全漏洞将帮助您准备智能工厂的安全系统，以应对潜在的威胁。

建立访问策略

准确了解谁可以访问您注册表中的每个物联网设备可以帮助您预防攻击并检测潜在的危险。您可以使用广泛应用于敏感数据保护的最小特权原则(PoLP)作为授予或拒绝访问权限的监管基础。

仅凭密码保护可能还不够。为了确保安全访问，请考虑使用高级人脸和语音识别系统，生物识别技术等。了解设备如何相互连接对于防止物联网安全漏洞和攻击也非常重要。

监控可疑活动

企业物联网网络中的每台设备都具有您可以信赖的操作标准。对其中一个的妥协表明安全漏洞可能正在进行中。但是，只要您知道它们是如何互连的，您就不需要监视网络上的每个设备。

监控最关键的设备可能足以检测物联网网络攻击，并为您提供快速隔离故障设备以阻止其感染企业网络的机会。

使用软件解决方案进行物联网安全

智能企业需要同样智能的安全系统。虽然大多数遗留安全系统通常使用无法处理越来越多的高速数据的固定模式SQL数据库，但高级安全解决方案专门用于处理大型数据集。

根据最近的趋势，所有企业数据都与安全相关，应该对其进行捕获，索引和分类，以查明可能的威胁。为了确保物联网安全，处理和分析来自防火墙的数据，IDS和防病毒软件显然是不够的，因为它们只处理所谓的“已知”威胁。

为了检测高级和以前未知的安全隐患，安全专家必须分析看似无关的数据类型(操作系统日志，LDAP / AD，徽章数据，DNS，NetFlow和电子邮件/ Web服务器)。事实上，必须捕获和监控安全和非安全数据，以提供实时通知和警报。

基于大数据分析，高级安全软件正在为企业安全管理设立新标准。物联网安全系统将通过检测偏离规范的事件以及看似异常的事件组合自动提醒您任何异常情况。

工业物联网安全应该防范的三个风险类别

工业物联网设备和相关技术给企业带来的常见安全风险可以分为三类：管理和运营风险、技术风险、物理风险。

1. 管理和运营风险

这种类型的风险涉及人为风险，无论是意外的还是有意的，例如工业物联网设备的不当使用或网络攻击者入侵网络。缺乏全面的工业物联网安全风险管理计划会使企业的业务安全性变得脆弱。该计划必须包括安全政策、程序和定期培训，以在可能的情况下识别、管理和消除网络安全风险。

人为造成的事故和错误可能会造成安全漏洞，例如滥用或错误安装工业物联网设备，以及使用遗留系统。怀有恶意的企业内部人员和外部人员也将工业物联网设备作为破坏目标。工业物联网设备和系统制造商可能会倒闭、消失或停止支持，而企业却仍在使用他们的工业物联网技术。这可能会使用于关键场景的工业物联网设备存在一些被攻击利用的漏洞。

2. 技术风险

日益增长的物联网设备扩大了攻击面而这些设备往往存在用户未知且可被网络攻击者发现的漏洞。工业物联网部署在IT和OT之间建立了新的连接，这增加了部署的复杂性和安全风险，尤其是对于非标准化的工业物联网硬件、软件和固件。工业物联网缺乏全球采用的安全性和互操作性技术标准导致设备、控制器和支持系统的安全性不一致。许多工业物联网设备使用弱密码或没有加密，身份验证较弱或没有身份验证，并且运行在容易受到网络攻击的软件上。

3. 物理风险

自然灾害、突发事件或网络攻击可能会中断或改变工业物联网系统的工作方式。网络攻击者可能会以物理安全性较差的设备为目标，并直接对其进行更改，从而以有害的方式影响物理世界。例如，网络攻击者会以控制石油管道或其他资源的物联网设备为目标。许多工业物联网设备需要人工完成维护或更新，这对于使用它们的员工来说可能是不可能实现的。

遵循推荐的工业物联网安全实践

某些网络安全目标应该是每个工业物联网安装的一部分。首先，企业必须使用安全的工业物联网设备和系统。物联网团队必须配置设备以防止它们被用作网络攻击的一部分，例如分布式拒绝服务(DDoS)、数据泄露或设备设置的修改。

企业还应建立数据安全控制。他们必须保护由工业物联网技术收集、处理、存储、传输的所有数据的机密性、完整性和可用性。部署中缺乏数据完整性和不一致是工业物联网的固有风险。每个实施工业物联网设备的企业都必须具有以下领域的安全功能：

◆ 管理和运营安全控制。这些是确保工业物联网部署安全所必需的基于人员的行动。控制措施包括管理设备的选择、开发、实施和维护所需的行动。安全措施必须保护工业物联网数据和设备功能，并管理使用工业物联网设备的劳动力。采取的一些措施包括工业物联网安全控制设置文档、政策和程序、设备安全使用培训或执行工业物联网风险评估。

◆ 技术安全。这些是确保有效的工业物联网安全和保护作为工业物联网系统一部分的技术元素(例如云计算服务或供应链)所必需的基于技术的组件。这包括使用多因素身份验证、加密、安全启动和设备识别技术进行工业物联网设备身份验证等控制。

◆ 物理安全。物理措施和工具可以保护工业物联网设备以及相关服务器、控制器、显示屏、输入和输出设备以及构成工业物联网环境设施的所有硬件。企业必须建立设施和工业物联网设备附近访问控制，仅允许授权使用和访问专有数据，并限制对工业物联网设备和系统控制进行修改的能力。这些示例包括保护对存储卡的访问、禁用不必要的USB端口、仅允许授权实体查看工业物联网设备的屏幕，以及控制对工业物联网设备和相关硬件的物理访问。

如果没有针对这三类的安全控制措施，工业物联网设备和系统就不会保证安全。

参考链接：

工业物联网_百度百科

https://baike.baidu.com/item/%E5%B7%A5%E4%B8%9A%E7%89%A9%E8%81%94%E7%BD%91/9887156?fr=aladdin#reference-[1]-22839214-wrap

https://zhuanlan.zhihu.com/p/115747821

https://zhuanlan.zhihu.com/p/402926984

来源：“三中网安”微信公众号